先週末までの間、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)の契約業者が、複数の極秘権限を持つAWS GovCloudアカウントおよび多数の内部CISAシステムへのアクセス認証情報を露出させる公開GitHubリポジトリを保有していました。セキュリティ専門家によると、この公開アーカイブにはCISAが社内でソフトウェアをどのようにビルド、テスト、デプロイするかについての詳細ファイルが含まれており、これは最近の政府データ流出の中で最も悪質な事例の一つです。
5月15日、KrebsOnSecurityはセキュリティ企業GitGuardianの研究員Guillaume Valadonから報告を受けました。Valadonの企業はGitHubおよび他のプラットフォームの公開コードリポジトリを継続的にスキャンして露出した機密情報を探し、該当するアカウントに自動的にアラートを発送しています。Valadon氏は、このケースではリポジトリの所有者が対応していないこと、および露出している情報が極めて機密性の高いものであることから報告したと述べました。
CISA契約業者が管理していた現在削除された「Private CISA」リポジトリの編集版スクリーンショット
Valadon氏が指摘したGitHubリポジトリは「Private-CISA」と命名され、大量の内部CISA/DHS認証情報とファイル(クラウドキー、トークン、平文パスワード、ログ、その他の機密CISAアセットを含む)を含んでいました。
Valadon氏は、露出したCISA認証情報はセキュリティ衛生の欠如の典型例であると指摘し、違反するGitHubアカウントのコミット履歴には、CISA管理者がSSHキーやその他の機密情報を公開コードリポジトリで公開されないようにするGitHubのデフォルト設定を無効化していたことが示されていると述べました。
「CSVファイルに平文で保存されたパスワード、gitのバックアップ、GitHub機密検出機能を明示的に無効化するコマンド」とValadon氏はメールで書いています。「内容をより詳しく分析する前は本当に全部が偽物だと思っていました。これは本当に私のキャリアの中で目撃した最悪の流出です。明らかに個人的な過ちですが、内部実務の問題を露呈している可能性があります。」
露出したファイルの一つ「importantAWStokens」というタイトルのものには、3つのAmazon AWS GovCloudサーバーへの管理者認証情報が含まれていました。同じく公開GitHubリポジトリで露出した「AWS-Workspace-Firefox-Passwords.csv」というファイルには、多くの内部CISAシステムのユーザー名とパスワードが平文で記載されていました。Caturegli氏によると、これらのシステムには「LZ-DSO」という名称のものも含まれており、これは機関のセキュアコード開発環境である「Landing Zone DevSecOps」の略であると思われます。
セキュリティコンサルティング企業Seralysの創業者Philippe Caturegli氏は、AWSキーがまだ有効であるかどうか、また露出されたアカウントでアクセスできる内部システムを検証するためだけにテストしたと述べています。Caturegli氏は、CISA機密を露出させたGitHubアカウントが、キュレーション済みのプロジェクトリポジトリではなく、個人が作業用スクラッチパッドまたは同期メカニズムとしてリポジトリを使用していた特徴を示していると述べました。
「CISA関連のメールアドレスと個人用メールアドレスの両方が使用されているという点は、異なる設定環境間でリポジトリが使用されていた可能性を示唆しています」とCaturegli氏は述べています。「利用可能なGitメタデータだけでは、どのエンドポイントまたはデバイスが使用されたのかを証明することはできません。」
Private CISA GitHubリポジトリは、重要なCISA GovCloudリソースの多数の平文認証情報を露出させていました
Caturegli氏は、露出した認証情報が高い権限レベルで3つのAWS GovCloudアカウントに認証可能であることを検証したと述べています。また同氏は、アーカイブにはCISAの内部「artifactory」(ソフトウェア構築に使用するすべてのコードパッケージのリポジトリ)への平文認証情報も含まれており、これはCISAシステム内で永続的な足がかりを求める悪意のある攻撃者にとって非常に価値のある標的になると述べています。
「それは横方向への移動に最適な場所になります」と同氏は述べました。「ソフトウェアパッケージにバックドアを埋め込んでおけば、彼らが新しいものをビルドするたびにあなたのバックドアが広がっていきます。」
質問に対して、CISAのスポークスパーソンは、同庁がこの露出報告について認識しており、状況の調査を継続していると述べました。
「現在のところ、このインシデントの結果として機密データが漏えいしたという兆候はありません」とCISAスポークスパーソンは述べています。「私たちはチームメンバーに最高水準の誠実性と運用上の認識を求めていますが、将来の発生を防ぐための追加のセーフガード実装に取り組んでいます。」
GitHubアカウントと露出したパスワードの確認により、「Private CISA」リポジトリはバージニア州ダレスを本拠とする政府請負業者Nightwingに雇用された契約業者によって管理されていたことが明らかになりました。Nightwingはコメントを控え、問い合わせをCISAに案内しました。
CISAはデータ露出の可能性のある期間についての質問には応答していませんが、Caturegli氏は「Private CISA」リポジトリが2025年11月13日に作成されたと述べています。契約業者のGitHubアカウントは2018年9月にさかのぼります。
Private CISAリポジトリを含むGitHubアカウントは、KrebsOnSecurityとSeralysの両者がCISAに露出について通知した直後にオフラインになりました。しかし、Caturegli氏は、露出したAWSキーが理由不明のまま、さらに48時間有効であり続けたと述べています。
現在削除されたPrivate CISAリポジトリは、契約業者が複数の内部リソースに対して簡単に推測できるパスワードを使用していたことを示していました。例えば、多くの認証情報はプラットフォーム名に現在の年を追加したパスワードを使用していました。Caturegli氏は、これらの認証情報が外部に露出していなかったとしても、こうした慣行はどの組織にとっても深刻なセキュリティ脅威を構成することになると述べており、脅威行為者はしばしば内部ネットワークで露出した主要な認証情報を使用して、ターゲットシステムへの初期アクセスを確立した後にアクセス権を広げていくと指摘しています。
「私の推測では、[CISA契約業者]がこのGitHubを仕事用ラップトップと自宅のコンピューター間でファイルを同期するために使用していたのだと思います。というのも、2025年11月から継続的にこのリポジトリにコミットしているからです」とCaturegli氏は述べました。「どの企業にとってもこれは恥ずかしい流出ですが、この場合はそれ以上に深刻です。なぜなら、それはCISAだからです。」
翻訳元: https://krebsonsecurity.com/2026/05/cisa-admin-leaked-aws-govcloud-keys-on-github/
